Stripe est complice de tes chargebacks.

Stripe a construit un empire en vendant la confiance aux fondateurs. Dashboard propre, onboarding en 10 minutes, Stripe Radar contre les hackers. Tu te sens protégé. Tu as tort.

Quand un client abuse du chargeback, Stripe ne joue pas pour toi. Stripe joue pour la banque (et par extension, pour le client qui te ment en face). Si tu construis un SaaS sans stratégie anti-friendly-fraud dès le day 1, tu subventionnes les fraudeurs avec ta marge. Point.

Le contre-argument que tu vas sortir

"Mehdi, Stripe a Stripe Radar, ils ont un système de dispute, je peux soumettre des preuves." Oui. Et tu vas perdre quand même. Pas parce que tu as mal préparé ton dossier. Parce que les règles du jeu ont été écrites par Visa et Mastercard, pas par Stripe. Stripe n'est que l'intermédiaire qui applique ces règles, et qui prélève ses frais au passage, que tu gagnes ou que tu perdes.

La réalité : le taux de gain moyen pour un marchand sur une dispute chargeback est de 21% selon les données Chargebacks911 de 2023. 79% du temps, tu perds. Et tu paies 15€ de frais de dispute en plus.

Le consensus faux que tout le monde répète

"Le chargeback, c'est pour les marchands malhonnêtes. Si tu vends un produit honnête, t'as rien à craindre." C'est faux. Et les chiffres sont brutaux.

Le friendly fraud (quand un vrai client passe une commande légitime, reçoit son service, puis dispute le paiement en prétendant ne pas l'avoir autorisé) représente 75% des chargebacks dans le e-commerce et le SaaS selon Mastercard. Pas 10%. Pas 30%. 75%.

Traduction concrète : si tu génères 50 000€ de MRR et que ton taux de chargeback atteint 1% (le seuil Visa), tu perds 500€ par mois en transactions disputées, plus les frais, plus le temps passé à constituer des dossiers que tu vas perdre dans 8 cas sur 10. Et si tu dépasses 1%, Stripe te coupe. Pas de warning. Compte suspendu.

Pourquoi Stripe est structurellement aligné contre toi

Soyons précis sur la mécanique. Stripe gagne de l'argent sur chaque transaction. Stripe gagne aussi 15€ par dispute soumise, quel que soit le résultat. Plus il y a de disputes, plus Stripe facture. L'incentive de Stripe n'est pas de réduire tes chargebacks. C'est de traiter les transactions.

Stripe Radar est excellent pour bloquer les cartes volées, les bots, les adresses IP suspectes. C'est de la vraie fraude (true fraud). Mais le friendly fraud, c'est différent. C'est ton client de mardi qui dispute le jeudi. Stripe Radar ne voit pas ça venir. Et quand ça arrive, Stripe te donne 7 jours pour monter un dossier de preuves contre un client qui a juste à dire "je n'ai pas autorisé ce paiement" à sa banque.

Sa banque le croit. Pas toi. Le système est conçu comme ça depuis les années 70. Stripe n'a pas inventé ce biais, mais il ne fait rien pour le corriger en ta faveur.

Le framework anti-friendly-fraud day 1

1. Construis ta preuve avant la dispute, pas après. La majorité des fondateurs constituent leur dossier de preuves après avoir reçu la notification de dispute. Trop tard. Les banques veulent voir des preuves d'utilisation datées, horodatées, incontestables. Mets en place dès le jour 1 :

• Logs d'activité utilisateur exportables avec timestamps UTC : connexions, features utilisées, données créées
• Email de confirmation d'accès avec IP et user-agent enregistrés à chaque login
• Fingerprint de device via une lib comme FingerprintJS (gratuit jusqu'à 20k requêtes/mois)
• Confirmation explicite des CGU avec case à cocher enregistrée en base, pas juste "en utilisant ce service vous acceptez"

Chaque log est une balle dans ton dossier de dispute. Sans log, tu n'as rien.

2. Descriptor clair sur le relevé bancaire. 30% des chargebacks viennent d'un client qui ne reconnaît pas le nom sur son relevé bancaire. Il voit "MXPMT*GC2024" et croit à une fraude. Il appelle sa banque. Chargeback. Dans ton Stripe Dashboard, configure ton statement descriptor pour qu'il soit immédiatement reconnaissable : ton nom de produit, pas le nom de ta holding. Ajoute un numéro de support. C'est 5 minutes de setup. Ça te fait économiser des disputes stupides.

3. Intercepte avant que le client aille à la banque. Le friendly fraud commence souvent par un client frustré qui ne trouve pas comment annuler ou se faire rembourser. Plutôt que de contacter ton support, il prend le chemin de moindre résistance : il appelle sa banque. Solution : rendre le remboursement plus facile que le chargeback. Bouton d'annulation en self-service visible. Email de support répondant en moins de 4h. Policy de remboursement 30 jours claire sur la page pricing. Un remboursement te coûte 0€ de frais. Une dispute te coûte 15€ + temps + risque de suspension.

4. Stripe Radar Rules que tu n'as pas configurées. Stripe Radar laisse configurer des règles customs dans le plan payant (Radar for Teams, ~0,05$ par transaction). Mais même en plan gratuit, tu peux bloquer des patterns à risque :

• Bloquer les cartes prepaid sur les plans annuels (ratio chargeback 3x plus élevé)
• Exiger une vérification 3D Secure sur toutes les transactions >150€ (le 3DS transfère la responsabilité de la fraude à la banque, pas à toi)
• Ajouter un délai de 24h avant activation sur les nouveaux comptes avec risk score élevé

Le 3D Secure est la seule protection légale qui te transfère vraiment le risque. Active-le. Oui, ça crée un peu de friction. Non, ça ne tue pas ta conversion si ton produit est bon.

5. Avoir un plan B si Stripe te coupe. C'est le sujet dont personne ne parle en early stage. Si ton taux de chargeback dépasse 1% pendant 3 mois consécutifs, Stripe peut fermer ton compte. Sans préavis suffisant. Avec les fonds gelés 90 à 180 jours. Setup minimal de résilience :

• Un compte Paddle ou Lemon Squeezy actif en parallèle (ils jouent le rôle de Merchant of Record, ils absorbent les disputes à ta place en échange d'une commission plus élevée)
• Un compte Braintree ou Adyen dormant avec l'intégration technique faite (tu l'actives en 2h si Stripe tombe)
• Tes données de subscription dans ta propre base, pas seulement dans Stripe

Le piège dans lequel tombent les fondateurs

Le piège, c'est de traiter le chargeback comme un problème opérationnel à gérer au cas par cas. "On a eu 3 disputes ce mois, je vais répondre aux 3." Faux mindset.

Le friendly fraud est un problème systémique qui scale avec ton MRR. Plus tu grossis, plus tu es une cible. Les fraudeurs professionnels ont des listes de SaaS avec des taux de réponse aux disputes faibles. Ils testent. Ils partagent. Il existe des communautés Reddit et Discord dédiées à "credit card churn" où des gens s'échangent des stratégies pour utiliser des SaaS gratuitement via chargeback.

À 1k€ MRR, c'est anecdotique. À 50k€ MRR, c'est une ligne P&L. À 500k€ MRR, c'est un poste à temps plein si tu n'as pas construit le système en amont.

J'ai vu un fondateur SaaS perdre 11 000€ sur 3 mois de chargebacks sur un plan annuel. Pas des hackers. Des clients réels qui avaient utilisé le produit 10 mois, puis disputé le 11ème. Stripe a rejeté 9 dossiers sur 11 parce que les logs d'activité n'étaient pas suffisamment documentés. Il avait les données en base. Il n'avait pas le process pour les exporter en format lisible par une banque américaine.

La protection, c'est l'infrastructure que tu construis avant d'en avoir besoin.

Ce que tu fais cette semaine

Pas besoin d'un audit complet. Trois actions concrètes :

• Aujourd'hui : va dans ton Stripe Dashboard et vérifie ton statement descriptor. Est-ce que ton client reconnaît le nom en 3 secondes ? Si non, change-le.
• Cette semaine : active le 3D Secure sur toutes les transactions >100€. Une ligne de code ou un toggle dans Stripe. Ça te transfère le risque légal immédiatement.
• Ce mois : documente ta stack de logs d'activité utilisateur. Si tu ne peux pas exporter en 10 minutes la liste horodatée de toutes les actions d'un user sur les 12 derniers mois, tu n'as pas de dossier de dispute viable.

Le friendly fraud SaaS n'est pas une fatalité. C'est un problème d'infrastructure que tu peux résoudre si tu l'anticipes. La majorité des fondateurs ne l'anticipent pas parce que Stripe donne l'impression d'être une forteresse. C'est une forteresse avec une porte dérobée côté client.